Bienvenue dans la leçon 7. Je voudrais immédiatement avertir que cette leçon est la dernière. Dernière pour ce cours. Les plans sont déjà deux nouveaux cours, alors restez à l'écoute. Et le sujet de la leçon d'aujourd'hui est le
Sandboxing (c'est-à-dire le sandbox). Et avant de commencer à parler de ce que c'est et de ce qui est utile, je voudrais résumer un petit résultat du travail déjà fait par nous. Revoyons le matériel couvert une fois de plus.
Contrôle d'accès
Au tout début, nous avons avancé la thèse selon laquelle l'un des
éléments clés de la protection des réseaux est le facteur humain . Comme toujours, tout dépend des cadres. Une configuration correcte résout la plupart des problèmes de sécurité.
Après cela, nous avons commencé à discuter de diverses lames conçues pour améliorer la protection.
L'objectif principal est de minimiser la zone d'attaque possible . Dans ce processus, chaque lame est importante et complète les autres. Malheureusement, je n'ai pas pris en compte les fonctionnalités de configuration de toutes les lames, et il est impossible de tout probablement pousser dans le cadre d'un cours.
En fait, toutes les lames Check Point peuvent être divisées en deux catégories: contrôle d'accès et prévention des menaces. Commençons par la première catégorie. Quelles lames et fonctions sont incluses dans le contrôle d'accès et comment elles peuvent réduire la zone d'attaque.
- Pare - feu - Je pense que tout le monde comprend que le pare-feu devrait «pirater» tout ce qui n'est pas nécessaire. Ici, vous devez absolument utiliser l'approche «Tout ce qui n'est pas autorisé est interdit». Par exemple, pour les utilisateurs, dans la plupart des cas, il suffit d'autoriser uniquement les ports 80 et 443, et rien de plus!
- Inspection SSL - Je pense que j'ai pu vous convaincre que c'est une chose très importante et que sans elle, nous avons un énorme trou dans notre système de sécurité. Beaucoup de choses intéressantes peuvent passer par le port 443 si vous n'examinez pas ce trafic comme prévu.
- Filtrage d'URL - le nom parle de lui-même. Avec cette fonction, nous devons fermer toutes les ressources Internet potentiellement dangereuses. Bien sûr, tout dépend de la politique de sécurité de l'entreprise, mais vous devez admettre que certaines catégories de sites devraient définitivement être fermées. De nombreuses ressources sont largement connues sous le nom de distributeurs de logiciels malveillants. En leur fermant l'accès, nous réduisons considérablement la zone d'attaque.
- Identity Awareness - vous permet de contrôler l'accès en fonction des comptes d'utilisateurs (plutôt que des adresses IP). Cela rend notre politique de sécurité plus flexible et plus mobile. Elle devient de plus en plus personnalisée.
- Contrôle des applications - avec cette lame, nous pouvons bloquer un grand nombre de programmes potentiellement dangereux. TeamViewer, RDP, Tor, diverses applications VPN et bien plus encore. Très souvent, l'utilisateur lui-même ne se rend pas compte de la dangerosité de l'application qu'il installe.
- La connaissance du contenu est une autre fonctionnalité très utile avec laquelle vous pouvez empêcher le téléchargement (ou le téléchargement) d'une certaine catégorie de fichiers. Comme je l'ai dit, vos utilisateurs ne devraient pas télécharger de fichiers exécutables et espérer que l'antivirus vous sauvera. De plus, il arrive que l'utilisateur ne soupçonne même pas qu'un arrière-plan a commencé à télécharger quelque chose. La sensibilisation au contenu sera utile dans ce cas.
- La géoprotection est une autre fonctionnalité dont je n'ai malheureusement pas parlé. Cette «fonctionnalité» vous permettra de bloquer tout trafic (entrant et sortant) de n'importe quel pays pour votre réseau. Pour une raison quelconque, je suis sûr que vos utilisateurs n'ont pas besoin de visiter les ressources du Bangladesh ou du Congo. Mais les attaquants aiment utiliser les serveurs des pays où la législation est assez peu développée en matière de cybercriminalité.
Prévention des menaces
Nous continuons de réduire la zone d'attaque. Examinons les lames de la catégorie Prévention contre les menaces. Ce sont des fonctions purement de "sécurité":
- Nous avons déjà examiné l'importance de configurer correctement Antivirus . Je pense que le travail de laboratoire vous a convaincu.
- Dans deux leçons passées, nous avons examiné IPS . Il s'est avéré que cette lame peut non seulement analyser le trafic réseau, mais également «attraper» les fichiers de virus.
- Anti-bot . Malheureusement, nous n'y avons pas pensé. Mais le point est assez simple. Si l'un de vos ordinateurs est infecté et tente d'atteindre le centre de commande (c.-à-d. Le botnet classique), Anti-Bot pourra alors "voir" ce processus, interrompre la session et informer l'administrateur.
Qu'est-ce qui unit ces trois lames? Ils ne fonctionnent qu'avec des
menaces connues . Il s'agit soit d'une signature, soit d'une liste d'adresses IP ou d'URL incorrectes de la base globale du point de contrôle de Threat Cloud. Quelle est son efficacité aujourd'hui?
Selon des rapports récents, ces défenses traditionnelles de signature sont capables de couper environ 70% des menaces existantes. Et puis, cet indicateur ne peut être atteint qu'avec une configuration correcte. Je pense qu'il est évident pour tout le monde que cela est catastrophiquement insuffisant. Que faire si un logiciel malveillant inconnu «vole» et que les moyens de protection des signatures sont vissés? Pensez-vous que ce soit de la fiction et de la fiction marketing? Dans la vidéo ci-dessous, je considère en détail un exemple de contournement d'un antivirus avec l'analyse de VirusTotal. La première partie est théorique et reproduit le texte ci-dessus, alors n'hésitez pas à
faire défiler jusqu'à la 6e minute .
Sandbox
Dans la même vidéo, nous montrons les capacités du sandbox Check Point. Le concept d'un bac à sable (bac à sable) est apparu relativement récemment. Et beaucoup sont encore sceptiques quant à cette classe de protection (rappelez-vous l'histoire d'IPS). Quelle est la tâche du bac à sable?
Comme vous le savez, cette méthode de vérification est fondamentalement différente de l'analyse de signature. Bien sûr, tout n'est pas aussi simple que décrit dans cette diapositive. Les bacs à sable modernes (en particulier les bacs à sable Check Point) utilisent de nombreuses technologies pour détecter les virus. Nous ne nous concentrerons pas sur leur description maintenant. Le but de cette leçon est de montrer que
l'approche de signature traditionnelle a des faiblesses et que la protection moderne a besoin d'un niveau de protection supplémentaire . C'est-à-dire le bac à sable peut être considéré comme la dernière frontière de votre protection lorsque le virus a déjà franchi le pare-feu, IPS et Anti-Virus.
Quelle est la particularité du sandbox Check Point? En fait, il y a beaucoup de fonctionnalités. Cette technologie est appelée
Check Point SandBlast et comprend plusieurs lames à la fois:
C'est un sujet très vaste, donc avec votre permission, j'en parlerai
plus en détail déjà dans le cadre du nouveau cours , que nous lancerons très prochainement. Quant à cette leçon, la thèse principale est:
Le bac à sable est un élément indispensable d'une protection complète du réseau.
Vous devez accepter cela et le prendre pour un fait. La même chose s'est produite une fois avec IPS.
Conclusion
Avec cela, nous terminerons probablement notre cours. Un grand merci à tous ceux qui ont regardé jusqu'à la fin, j'ai sincèrement essayé de partager quelque chose d'utile. J'espère que ces informations seront utiles à quelqu'un. Malheureusement, tout dire dans le cadre d'un tel mini-cours est tout simplement impossible. Par conséquent, si vous avez soudain des questions, nous nous ferons un plaisir d'y répondre. Vous pouvez écrire dans notre boîte aux lettres partagée ou directement à moi.
Je profite également de cette occasion pour remercier Alexei Beloglazov (société Check Point), qui m'a constamment aidé lors des consultations tout au long du cours. Alex, merci encore :)
De plus, je voudrais vous dire que nous
fournissons un service d'audit entièrement
gratuit pour la sécurité des paramètres de Check Point . Dans le cadre de cet audit, nous vérifierons tout ce qui a été discuté dans ce cours et les choses supplémentaires qui n'ont pas été incluses dans les leçons. Par conséquent, ne soyez pas timide, veuillez contacter, moi ou nos ingénieurs seront ravis de «creuser» dans vos paramètres et de vous donner des recommandations. Vous pouvez contacter via le
site ou par les mêmes boîtes aux lettres.
Merci de votre attention et je vous attends sur un nouveau cap!